ACL های مبتنی بر زمان – دسترسی به سازمان در زمان های خاص

گاهی از اوقات نیاز است که ارتباط با سازمان , برای کاربران بیرونی  را مهیا کنیم. به عنوان مثال شرکتی که کارمندان آن دارای شرایط دورکاری هستند. در نتیجه لازم است به آنها این امکان داده شود کا در ساعات کاری به سازمان وصل و بتوانند کارهای خود را انجام دهند.

یا فرض بفرمایید یک نرم افزار خاص در سازمان ما وجود دارد که افراد در ساعات اداری به آن وصل و کارهای خود را انجام میدهند. و بعد از ساعات اداری دیگر کسی حق استفاده از آن برنامه را ندارد.

یا مثال دیگری که میتوان زد این است که شما قرار است برای یک مدت مشخص به یک پیمان کار دسترسی برای انجام روال های معمول دهید. و بعد از پایان کار دسترسی را بگیرید. از آن طرف به دلیل حساسیت down time در شبکه
این کار را قرار است بعد از ساعات اداری و دیر وقت انجام شود.

نقطه مشترک همه این سناریو ها این است که شما قصد باز کردن یک پورت (port) از شبکه خود را در بستر اینترنت دارید تا افراد بتوانند از سرویس های شما استفاده کنند. و البته نکته قابل توجه دیگر در همه این سناریو ها این است که این اتفاق باید در محدوده زمانی خاص اتفاق بی افتد.

مثلا کسانی که دور کاری میکنند باید در ساعات و روزهای اداری به سازمان ما وصل شوند. و یا کسانی که با آن نرم افزار خاص کارمیکردند باید در ساعات اداری از آن استفاده کنند. یا شخص پیمانکار ساعت مشخصی قرار بود به شبکه ما وصل شود و بعد از آن دیگر دلیلی به داشتن دسترسی برای اووجود نداشت.
خوب برای این که افراد در زمان های مورد نظر ما بتوانند از این سرویس استفاده کنند یک راه حل این هست که هر روز خودمان دسترسی ها را باز و با تمام شدن بازه زمانی مورد نظر دسترسی را بگیریم ! که خوب مطمئنا زیاد جالب نیست!
پس میریم سراغ راه حل جالب تر که همون استفاده از خاصیتی در سیسکو به نام time based ACL ها می باشد.

نوشتن این ACL ها بسیار ساده است است. به مثال زیر توجه کنید :

در این مثال قرار است شخصی که از بیرون به سازمان وصل میشود بتواند از ساعت 8 تا 9 از سرویس ها استفاده کرده و بعد از آن دسترسی از او گرفته شود
برای انجام این کار به این صورت عمل خواهیم کرد:

R2(config)#time-range RemoteTime
R2(config-time-range)#?
Time range configuration commands:
absolute absolute time and date
periodic periodic time and date

اگر قرار است این دسترسی برای یک زمان خاص باشد از حالت absolute و اگر قرار است در دوره های مشخص تکرار شود از حال periodic استفاده میکنیم.

time-range RemoteTime
periodic daily 8:00 to 9:00
!

در نمونه بالا گفتیم هر روز از ساعت 8 تا 9!

بعد از آن نوبت به نوشتن ACL مورد نظر و تخصیص این time-range به ACL می باشد:

access-list 100 permit ip host 10.0.0.2 host 192.168.1.2 time-range RemoteTime

همانطور که میدانید در یک ACL می توان   خطوط (acl entry) زیادی داشت , که به هر خط میتوان یک time-range متفاوت داد.

نکته یادتان نرود که این ACL را روی اینترفیس مناسب پیاده کنید. در اینجا:

R2(config)#int fa 0/1
R2(config-if)#ip access-group 100 in

خوب حالا نتیجه:


R2#show access-lists
Extended IP access list 100
10 permit ip host 10.0.0.2 host 192.168.1.2 time-range RemoteTime (inactive)


R2#show time-range
time-range entry: RemoteTime (inactive)
periodic daily 8:00 to 9:00
used in: IP ACL entry
R2#

همانطور که میبینید دز زمان غیر مجاز خط ACL ما غیرفعال شده و بنابراین ترافیک مورد نظر با deny انتهای ACL مطابقت و حذف خواهد شد.
و در زمان های مورد نظر ما این خط active و ترافیک را عبور خواهد داد.

موفق باشید